新興資安策略與實務探討：以零信任（Zero Trust）為例

隨著連網裝置的型態、存取途徑愈來愈多元化，組織內外的使用者和「信任裝置」的管理也日益複雜，導致惡意使用者以冒用信任使用者，或以信用裝置為跳板，來入侵組織核心系統造成破壞；有鑑於此，組織應推定未受認證的裝置和使用者均不可被事先信任，來預防以信任使用者／裝置為掩護的潛在威脅。

零信任策略背景

近期因應COVID-19疫情的居家上班（Work from home, WFH）趨勢，使得部分組織和企業員工「攜帶自己的裝置（Bring your own devices, BYOD）」需求增加，藉由使用員工習慣操作的自身裝置來提升工作效率、減少企業購置裝置成本；但因為員工自身裝置多元化，缺乏組織統一安全規格列管，就算員工能確實依照組織資安政策行事，也有可能會暴露裝置端的安全風險，而被惡意第三方利用為跳板與突破口。

零信任策略概說

零信任顧名思義，就是將未知、未經認證的人員與裝置，皆推定為不受信任的狀態，來阻絕大部分第三方惡意威脅來源；而零信任也要藉由建立信任管控配套措施，來授權合法裝置和使用者，存取組織內部的關鍵核心系統，並確保受信任使用者和裝置，與組織安全規範高度一致。

實施零信任策略的組織，可因應威脅和使用者權限的平衡，來制定彈性化的安全政策，以同時保障使用者合法存取和核心系統安全性；而組織列管的信任裝置和人員，也能藉由安全政策妥善管控，來預防人員疏失和系統缺陷，暴露更多的漏洞給惡意第三方利用。

小結

由於零信任策略使組織和業主，能有效控制轄下裝置安全性與人員權限管控，除組織內部網路需要零信任策略加以保障外，也會進一步用於內外網段安全管理、整合縱深防禦策略，將信任管控的對象，從組織成員和裝置延伸到組織外成員及裝置，要求組織外成員和裝置同樣遵守組織安全規範，才能存取和使用組織提供的各項服務，保障組織內部安全和組織外的使用權益。

參考來源：

1. (2021). Zero Trust | Revolutionary approach to Cyber or just another buzz word? Retrieved from Deloitte: https://www2.deloitte.com/content/dam/Deloitte/de/Documents/risk/deloitte-cyber-zero-trust.pdf